Я установил kb4012212 x64, компьютер перезагрузил.
Printable View
Я установил kb4012212 x64, компьютер перезагрузил.
Покажите результат следующей команды в командной строке(cmd.exe)
[CODE]reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc"
[/CODE]
Сообщите, если Windows Firewall запустился?
Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.
C:\Users\Пользователь>reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ser
vices\MpsSvc"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc
DisplayName REG_SZ Брандмауэр Windows
Group REG_SZ NetworkProvider
ImagePath REG_EXPAND_SZ %SystemRoot%\system32\svchost.exe -k LocalServ
iceNoNetwork
Description REG_SZ @%SystemRoot%\system32\FirewallAPI.dll,-23091
ObjectName REG_SZ NT Authority\LocalService
ErrorControl REG_DWORD 0x1
Type REG_DWORD 0x20
DependOnService REG_MULTI_SZ mpsdrv\0bfe
ServiceSidType REG_DWORD 0x3
RequiredPrivileges REG_MULTI_SZ SeAssignPrimaryTokenPrivilege\0SeAudit
Privilege\0SeChangeNotifyPrivilege\0SeCreateGlobalPrivilege\0SeImpersonatePrivil
ege\0SeIncreaseQuotaPrivilege
FailureActions REG_BINARY 80510100000000000000000003000000140000000100
0000C0D4010001000000E09304000000000000000000
Start REG_DWORD 0x2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Security
C:\Users\Пользователь>
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Не запустился. Код ошибки прежний. Ставлю второе обновление. kb4012215-x64
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
kb4012215-x64 установил, брандмауэр включился.
После как установить второе обновление, покажите результат следующей команды:
[CODE]sfc /scannow[/CODE]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[QUOTE=vlad.sau;1490831]
kb4012215-x64 установил, брандмауэр включился.[/QUOTE]
Отличная новость, в брандмауэре пожалуйста закройте (заблокируйте) порты SMB (139, 445). Вы можете отфильтровать столбец порты и найти порты 139, 445 сообщите их мне чтобы не заблокировать лишние.
Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.
C:\Users\Пользователь>sfc /scannow
Начато сканирование системы. Этот процесс может занять некоторое время.
Начало стадии проверки при сканировании системы.
Проверка 100% завершена.
Защита ресурсов Windows обнаружила поврежденные файлы, но не может восстановить
некоторые из них.
Сведения см. в журнале CBS.log windir\Logs\CBS\CBS.log. Например:
C:\Windows\Logs\CBS\CBS.log
Изменения, сделанные при восстановлении системных файлов, вступят в силу только
после перезагрузки.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Я отключил 3 правила Общий доступ к файлам и принтерам (входящий трафик SMB) на 445 порту во входящих и исходящих. Правильно?
На 139 порту Общий доступ к файлам и принтерам (входящий трафик сессии NB) не трогал.
Как Вам их сообщить, заскринить?
Скачайте сторонную утилиту [URL="http://www.sysnative.com/niemiro/apps/SFCFix.exe"]SFCFix.exe[/URL] (by niemiro) и поместите на рабочей стол.
- Запустите программу.
- При запросах, нажмите "[B]enter[/B]" (в общем должно получиться три раза).
- подождите завершения.
- по окончанию нажмите "[B]enter[/B]", на рабочем столе сформируется файл [B]SFCFix.txt[/B] приложите его к следующем сообщение.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[QUOTE=vlad.sau;1490834]
Я отключил 3 правила Общий доступ к файлам и принтерам (входящий трафик SMB) на 445 порту во входящих и исходящих. Правильно?
На 139 порту Общий доступ к файлам и принтерам (входящий трафик сессии NB) не трогал.
Как Вам их сообщить заскринить?[/QUOTE]
нет скрины не нужны, Нужно не отключать а наоборот включить и указать запретить. Если у этого ПК нет расшаренного принтера то необходимо запретить и 139 порт.
Лог приложил.
Принтер подключен.
Нужно делать входящие и исходящие?
netsh advfirewall set allprofile state on
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"
Так не получится?
[QUOTE=vlad.sau;1490837]
Нужно делать входящие и исходящие?
netsh advfirewall set allprofile state on
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"
Так не получится?[/QUOTE]
Желательно не добавлять новых правил, так как потом будет тяжело определить проблемы, если они возникнут.
Посмотрите на картинке пример, необходимо чтобы правило было включено и выбрано блокировать подключение.
----------------------------------------
[ATTACH=CONFIG]674571[/ATTACH]
Важно: Следующее решение написано только для Вашего случая, не стоит его применять для других схожих случаев.
Перед начало убедитесь в том, что отсутствовал файл [b]SFCFix.txt[/b] на рабочем столе.
----------------------------------------
Скачайте [url=http://www.sysnative.com/niemiro/apps/SFCFix.exe][b]SFCFix.exe[/b][/url](by niemiro) и сохраните на рабочем столе.
Скачайте [url=https://1drv.ms/u/s!Aguwh-yruJSWgyUpOqjBwToLkdmz][b]SFCFix.zip[/b][/url] и сохраните на рабочем столе.
Убедитесь, чтобы название файла было [b]SFCFix.zip[/b] - не в коем случае не меняте его. Сохраните и закройте все приложения.
Убедитесь, чтобы на рабочем столе было 2 файла: [b]SFCFix.exe[/b] и [b]SFCFix.zip[/b].
нажмите мышкой на файл [b]SFCFix.zip[/b] и переместите на [b]SFCFix.exe[/b] и отпустите мышь.
[img]http://i.imgur.com/JQLRgtF.gif[/img]
[b]SFCFix.exe[/b] начнет процесс исправления.
По окончанию создается файл: [b]SFCFix.txt[/b].
Приложите полученный отчет в следующем сообщение.
----------------------------------------
Общий доступ к файлам и принтерам (SMB) на 445 порту включил входящие и исходящие правила. После установил блокировать.
на 445 в
исходящих остался = Основы сетей - групповая политика (NP - исходящий трафик)
входящих = Служба входа в сеть (NP-In), 2х Удаленное управление журналом событий (именованные каналы - входящий), 2х Удаленное управление службой (именованные каналы - входящий)
все неактивны.
139 порт не трогал.
Правильно?
[QUOTE=vlad.sau;1490839]
139 порт не трогал.
Правильно?[/QUOTE]
Также заблокируйте только входящие. Важно исходящие правила не трогайте. Если заблокировали исходящие, то верните обратно.
Сделал входящие 3х Общий доступ к файлам и принтерам (входящий трафик сессии NB) включить и заблокировать.
Во входящих на 139 больше правил нет.
Лог добавил.
Отлично, системные проблемы вроде решены судя по логам. Давайте проверим если нет вирусов. Соберите новые логи автологгера по правилам.
Загрузил.
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
2018-10-28 23:28 - 2018-10-28 23:28 - 000011632 _____ C:\Windows\system32\sys.exe
2018-10-29 02:55 - 2018-10-29 03:07 - 000000000 ____D C:\SFCFix
2018-10-29 02:50 - 2018-10-29 03:07 - 000000000 ____D C:\Users\Пользователь\AppData\Local\niemiro
2018-10-16 20:34 - 2018-10-28 16:14 - 000000020 _____ C:\Windows\system32\1.txt
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Для выполните следующее в AVZ:
"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ.
log
Сообщите, что с проблемой?
Поставил на проверку. Старые уведомления исчезли.
[QUOTE=vlad.sau;1490847]
Поставил на проверку. Старые уведомления исчезли.[/QUOTE]
ок, ожидаю вашего ответа.
Проверка завершена, угроз не обнаружено. Переходов по адресам пока не было.
Выполните скрипт в AVZ при наличии доступа в интернет:
[code]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/code]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[B]В случае[/B], если уязвимостей не будет найдено то выполните завершаюшие шаги.
В завершение:
1.
[list][*]Пожалуйста, запустите adwcleaner.exe[*]В меню [B]Настройки[/B] -[B] Удалить AdwCleaner[/B] - выберите [B]Удалить[/B].[*]Подтвердите удаление, нажав кнопку: Да.[/list]
Переименуйте FRST.exe (или FRST64.exe) в [B]uninstall.exe[/B] и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.